本發(fā)明屬于安全登錄，尤其是涉及一種賬號異常登錄的檢測方法以及應(yīng)用該方法的賬號異常登錄的檢測裝置。

背景技術(shù)：

1、目前，數(shù)據(jù)與信息成爆炸式增長，各種社交媒體數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、crm數(shù)據(jù)以及大量網(wǎng)絡(luò)數(shù)據(jù)。但是，大多數(shù)情況下，這些數(shù)據(jù)只呈現(xiàn)了用戶的常見行為模式，而數(shù)據(jù)的異常變化可能是系統(tǒng)故障或用戶流失的“癥結(jié)”所在，如何識別數(shù)據(jù)海洋中的“暗礁”是用戶行為異常行為分析所要探討的問題。

2、現(xiàn)實中，同一系統(tǒng)下有成千上萬的用戶賬號，用戶每個人也都有很多類型的帳號，由于帳號總體數(shù)目較多，如果部分帳號被盜后造成明顯的損失時，很容易被發(fā)現(xiàn)，可以采取補救措施；但是，如果沒有立即造成明顯的損失，則該被盜事件有可能很長時間都不會被發(fā)現(xiàn)，一旦會被攻擊者長期利用，將導(dǎo)致更大、更深遠的危害。而且，由于不同帳號之間的權(quán)限區(qū)別，難以簡單地判斷多大范圍的活動程度被認為有違規(guī)行為，同時由于業(yè)務(wù)的復(fù)雜性，也很難準確地判斷帳號是否處于異常登錄狀態(tài)。因此，有效檢測出賬號的異常登錄行為，是阻止數(shù)據(jù)被盜的重要措施。

技術(shù)實現(xiàn)思路

1、有鑒于上述背景，本發(fā)明旨在提出一種賬號異常登錄的檢測方法以及應(yīng)用該方法的裝置，利用統(tǒng)計規(guī)律建立數(shù)據(jù)模型，高效準確的檢測出帳號的異常登錄行為。其具體技術(shù)方案包括以下內(nèi)容。

2、一方面，本發(fā)明提供一種賬號異常登錄的檢測方法，包括：獲取每一次登錄的行為因素與環(huán)境因素，其中：

3、一次登錄包括從發(fā)起登錄到登出或下線；所述行為因素包括：賬號名稱，登錄結(jié)果，登錄時間，登出時間，訪問流量；所述環(huán)境因素：登錄的設(shè)備ip、瀏覽器或客戶端、協(xié)議；

4、統(tǒng)計賬號的歷史登錄數(shù)據(jù)，建立該賬號基于時間序列的活躍度模型與頻率模型；根據(jù)所述環(huán)境因素，建立該賬號的環(huán)境特征；

5、獲取賬號的實時登錄數(shù)據(jù)，若該次登錄的環(huán)境因素不符合所述環(huán)境特征，和/或該次登錄的行為因素不符合所述活躍度模型規(guī)定的第一閾值區(qū)間，則判斷該次登錄為可疑登錄；

6、獲取所述可疑登錄之后特定周期內(nèi)的登錄數(shù)據(jù)，若該周期內(nèi)的登錄頻率不符合所述頻率模型規(guī)定的第二閾值區(qū)間，則判斷所述可疑登錄為異常登錄。

7、作為較佳的，上述的判斷行為因素是否符合活躍度模型規(guī)定的第一閾值區(qū)間，包括根據(jù)登錄結(jié)果、登錄時間與登出時間得到登錄時間段與在線時長，并判斷所述時間段與在線時長是否符合所述活躍度模型。

8、若登錄結(jié)果為失敗，則當(dāng)失敗次數(shù)達到預(yù)設(shè)閾值時，將對應(yīng)賬號標記為可疑賬號，并將所有失敗登錄標記為可疑登錄。

9、作為較佳的，上述的基于時間序列的模型，包括根據(jù)特定周期內(nèi)統(tǒng)計的登錄數(shù)據(jù)，分析得到的活躍度趨勢與頻率趨勢；所述特定周期包括時間段、日、周、月；

10、作為較佳的，上述的登錄頻率包括每個周期的登錄次數(shù)，所述活躍度包括每個周期的在線時間段與在線時長。

11、以及，若登錄目標屬于敏感類型，則對登錄后訪問的數(shù)據(jù)進行內(nèi)容審計；并且若檢測到任一賬號為可疑，則對該目標的所有賬號在同周期內(nèi)的登錄數(shù)據(jù)進行異常檢測。

12、若賬號被判斷為異常登錄，則對同ip登錄的所有其他賬號的同周期內(nèi)的登錄數(shù)據(jù)進行異常檢測。

13、另一方面，本發(fā)明提供一種賬號異常登錄檢測裝置，該裝置包括：

14、數(shù)據(jù)獲取模塊，用于獲取每一次登錄的行為因素與環(huán)境因素，其中：所述一次登錄包括從發(fā)起登錄到登出或下線；所述行為因素包括：賬號名稱，登錄結(jié)果，登錄時間，登出時間，訪問流量；所述環(huán)境因素：登錄的設(shè)備ip、瀏覽器或客戶端、協(xié)議；

15、數(shù)據(jù)分析模塊，用于統(tǒng)計賬號的歷史登錄數(shù)據(jù)，建立該賬號基于時間序列的活躍度模型與頻率模型；根據(jù)所述環(huán)境因素，建立該賬號的環(huán)境特征；

16、檢測模塊，獲取賬號的實時登錄數(shù)據(jù)，若該次登錄的環(huán)境因素不符合所述環(huán)境特征，和/或該次登錄的行為因素不符合所述活躍度模型規(guī)定的第一閾值區(qū)間，則判斷該次登錄為可疑登錄；獲取所述可疑登錄之后特定周期內(nèi)的登錄數(shù)據(jù)，若該周期內(nèi)的登錄頻率不符合所述頻率模型規(guī)定的第二閾值區(qū)間，則判斷所述可疑登錄為異常登錄。

17、作為較佳的，上述的數(shù)據(jù)分析模塊，根據(jù)特定周期內(nèi)統(tǒng)計的登錄數(shù)據(jù)，分析得到的活躍度趨勢與頻率趨勢；所述特定周期包括時間段、日、周、月；登錄頻率包括每個周期的登錄次數(shù)，活躍度包括每個周期的在線時間段與在線時長。

18、作為較佳的，上述的檢測模塊，判斷行為因素是否符合活躍度模型規(guī)定的第一閾值區(qū)間，包括根據(jù)登錄結(jié)果、登錄時間與登出時間得到登錄時間段與在線時長，并判斷所述時間段與在線時長是否符合所述活躍度模型。

19、以及，若登錄結(jié)果為失敗，則當(dāng)失敗次數(shù)達到預(yù)設(shè)閾值時，將對應(yīng)賬號標記為可疑賬號，并將所有失敗登錄標記為可疑登錄；若登錄目標屬于敏感類型，則對登錄后訪問的數(shù)據(jù)進行內(nèi)容審計；并且若檢測到任一賬號為可疑，則對該目標的所有賬號在同周期內(nèi)的登錄數(shù)據(jù)進行異常檢測；若賬號被判斷為異常登錄，則對同ip登錄的所有其他賬號的同周期內(nèi)的登錄數(shù)據(jù)進行異常檢測。

20、采用上述技術(shù)方案的本發(fā)明，至少具有以下有益效果：基于時間序列，對歷史登錄數(shù)據(jù)進行統(tǒng)計和分析，建立賬戶正常登錄行為的多個維度的模型。先對每一個實時登錄數(shù)據(jù)進行環(huán)境因素和活躍度模型檢測，若發(fā)現(xiàn)可疑時再對該登錄數(shù)據(jù)所在的周期數(shù)據(jù)進行登錄頻率模型檢測，以及對登錄失敗和敏感內(nèi)容訪問數(shù)據(jù)進行進一步檢測，能夠從多個維度依次深度檢測以發(fā)現(xiàn)賬號的異常登錄行為，為保障系統(tǒng)賬號安全提供保障，有利于提高信息安全防護能力。

技術(shù)特征：

1.一種賬號異常登錄的檢測方法，其特征在于，包括：獲取每一次登錄的行為因素與環(huán)境因素，其中：

2.根據(jù)權(quán)利要求1所述的檢測方法，其特征在于，所述判斷行為因素是否符合活躍度模型規(guī)定的第一閾值區(qū)間，包括根據(jù)登錄結(jié)果、登錄時間與登出時間得到登錄時間段與在線時長，并判斷所述時間段與在線時長是否符合所述活躍度模型。

3.根據(jù)權(quán)利要求1所述的檢測方法，其特征在于，若登錄結(jié)果為失敗，則當(dāng)失敗次數(shù)達到預(yù)設(shè)閾值時，將對應(yīng)賬號標記為可疑賬號，并將所有失敗登錄標記為可疑登錄。

4.根據(jù)權(quán)利要求1所述的檢測方法，其特征在于，所述基于時間序列的模型，包括根據(jù)特定周期內(nèi)統(tǒng)計的登錄數(shù)據(jù)，分析得到的活躍度趨勢與頻率趨勢；所述特定周期包括時間段、日、周、月；

5.根據(jù)權(quán)利要求1-4任一所述的檢測方法，其特征在于，若登錄目標屬于敏感類型，則對登錄后訪問的數(shù)據(jù)進行內(nèi)容審計；并且若檢測到任一賬號為可疑，則對該目標的所有賬號在同周期內(nèi)的登錄數(shù)據(jù)進行異常檢測。

6.根據(jù)權(quán)利要求1-4任一所述的檢測方法，其特征在于，若賬號被判斷為異常登錄，則對同ip登錄的所有其他賬號的同周期內(nèi)的登錄數(shù)據(jù)進行異常檢測。

7.一種賬號異常登錄檢測裝置，其特征在于，所述裝置包括：

8.根據(jù)權(quán)利要求8所述的檢測裝置，其特征在于，所述數(shù)據(jù)分析模塊，

9.根據(jù)權(quán)利要求8所述的檢測裝置，其特征在于，所述檢測模塊，

10.根據(jù)權(quán)利要求9所述的檢測裝置，其特征在于，所述檢測模塊，

技術(shù)總結(jié)
本發(fā)明旨在提出一種賬號異常登錄的檢測方法以及應(yīng)用該方法的裝置，基于時間序列，對歷史登錄數(shù)據(jù)進行統(tǒng)計和分析，建立賬戶正常登錄行為的多個維度的模型。先對每一個實時登錄數(shù)據(jù)進行環(huán)境因素和活躍度模型檢測，若發(fā)現(xiàn)可疑時再對該登錄數(shù)據(jù)所在的周期數(shù)據(jù)進行登錄頻率模型檢測，以及對登錄失敗和敏感內(nèi)容訪問數(shù)據(jù)進行進一步檢測，能夠從多個維度依次深度檢測以發(fā)現(xiàn)賬號的異常登錄行為，為保障系統(tǒng)賬號安全提供保障，有利于提高信息安全防護能力。

技術(shù)研發(fā)人員：樊瑩,李昱輝
受保護的技術(shù)使用者：西安捷潤數(shù)碼科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/19